FTK Imager Nedir?
FTK® Görüntüleyici, orijinal kanıtlarda değişiklik yapmadan verilerin kopyalarını oluşturarak verileri (kanıt) adli olarak sağlam bir şekilde elde etmek için kullanılan bir veri ön izleme ve imajını alma aracıdır.
FTK Imager ile Neler Yapabilirsiniz?
Yerel sabit disklerin, CD'lerin ve DVD'lerin, parmak sürücülerin veya diğer USB aygıtlarının, tüm klasörlerin veya ortamdaki çeşitli yerlerden ayrı dosyaların adli imajlarını oluşturabilirsiniz.
Yerel sabit sürücüler, ağ sürücüleri, CD'ler ve DVD'ler, parmak sürücüleri veya diğer USB aygıtlarındaki dosya ve klasörleri ön izleyebilirsiniz.
Yerel makinede veya bir ağ sürücüsünde depolanan adli imajların içeriğini ön izleyebilirsiniz.
İmajların içeriğini tam olarak kullanıcının orijinal sürücüde gördüğü gibi görmek için Windows® Internet Explorer®'dan yararlanan salt okunur bir görüntü için imajı bağlayabilirsiniz.
Adli imajlardan dosya ve klasörleri dışa aktarabilirsiniz.
Geri Dönüşüm Kutusu'ndan silinmiş, ancak henüz sürücünün üzerine yazılmamış dosyaları görüp ve kurtarabilirsiniz.
FTK Imagerde bulunan iki sağlama işlevinden (MD5 ve SHA-1'den) birini kullanarak verilerin bütünlüğünü kontrol etmek için dosyaların karmalarını (hashlenmiş hallerini) oluşturabilirsiniz: Message Digest 5 (MD5) ve SecureHashAlgorithm (SHA-1).
Daha sonra vaka kanıtınızın bütünlüğünü kanıtlamak için bir karşılaştırma ölçütü olarak kullanabileceğiniz normal dosyalar ve disk imajları (disk imajları içindeki dosyalar dahil) için karma raporlar oluşturabilirsiniz. Tam bir sürücünün imajı alındığında, imaj oluşturulduktan sonra imaj karmasının (hashlenmiş halinin) ve sürücü karmasının (hashlenmiş halinin) eşleştiğini ve görüntünün çekimden bu yana değişmediğini doğrulamak için FTK Imager tarafından oluşturulan bir karma (hash) kullanabilirsiniz.
Benim Dilimden Özetle FTK Imager ile Neler Yapabilirsiniz?
Anladığım kadarıyla özetlemek gerekirse, FTK Imager ile herhangi bir harici diskin veya klasörün fark etmeksiniz imajını alabiliriz veya imajları orijinalde görüntülendiği gibi ön izleyebiliriz. Hatta geri dönüşüm kutusundan silinen ancak harici diskimizde henüz üzerine yazılma işlemi olmamış belgelerinde imajını alarak onları kurtarabiliriz. İmajlardaki dosya ve klasörleri dışa aktarabilir yani edinebiliriz. Dahası imajını aldığımız belge, klasör vb. Dosyaları FTK Imager kullanarak MD5 veya SHA-1 ile hashleyebilir, rapor oluşturabilir ve daha sonra ilgili dosyaların benzersiz hashını kullanarak belgenin orijinalliğini ve üzerinde değişiklik yapılmamış olduğunu kanıtlayabiliriz.
FTK Imagerı Nereden Edinebilirim?
FTK Imager, ücretsiz bir program olduğu için aşağıdaki bağlantıda Download Now diyip daha sonra ilgili yerleri doldurarak mailimize gelen linkten indirebiliriz.
Son güncellemesinde Ciddi Hızlanma olduğu için 4.3.0 sürümünü kullanmanızı öneririm. Ayrıca 4.3.0 ile beraber tek bir cihazdan (MAC gibi) farklı işletim sistemlerinin hepsinin imajını alabiliyorsunuz.
FTK Imager Nasıl Kurulur?
Kurulumu oldukça basittir, indirdiğiniz AccessData_FTK_Imager-_4.3.0 isimli uygulamayı açıyoruz.
Küçük bir yükleme yaptıktan sonra aşağıdaki işlemleri sırası ile gerçekleştiriyoruz ve ileriye tıklıyoruz.
Kurulum tamamlandıktan sonra FTK Imager açılıyor ve önümüze böyle bir ekran geliyor.
Peki, Gelelim Asıl Meseleye FTK Imager ile Disk İmajını Nasıl Alacağız?
Uygulamayı açtıktan sonra, sol taraftaki File seçeneğinin altındaki Create Disk Image seçeneğini seçiyoruz.
Daha sonra bizden kanıtın kaynak tipini seçmemizi istiyor. Biz USB Bellek (Fiziksel Kaynak) kullanacağımız için PhysicalDriveı seçip İleri butonuna tıklıyoruz.
Daha sonra belirlediğimiz kaynağı seçiyoruz. Biz USB Belleğimizi seçtik ve Finish butonuna tıklıyoruz.
Daha sonra Add butonuna tıklayarak ya da daha önce oluşturulmuş hedef seçerek imaj oluşturmaya başlıyoruz. Biz öncelikle imajın oluşturulacaği yer için bir hedef oluşturacağız.
Burada imaj tipleri var biz raw (dd) olanı seçerek devam ediyoruz.
Kanıt hakkındaki bilgileri doldurduktan sonra İleri seçeneğine tıklayarak devam ediyoruz.
Daha sonra imajın kaydedileceği yeri, imajın adını, imajın tek dosya olmasını istiyorsak Image FragmentSizeı yani imaj boyutunu 0 yaparak sınırlandırmayı önlüyoruz ve imajın şifrelenmesini istiyorsak Use AD Encryption seçeneğini seçiyoruz. Finish seçeneğine tıklayarak bitiriyoruz.
Daha sonra imaj hedefi seçip Start seçeneğine tıklayarak imaj oluşturma işlemini başlatıyoruz.
Daha sonra imaj oluşturuluyor ve bekliyoruz.
Tamamlandıktan sonra Image Summary seçeneği seçilerek imaj özeti (imaj ile alakalı girilen ve oluşturulan bilgiler) görüntülenebilir. Close seçeneği seçilerek imaj işlemi tamamlanabilir.
Ayrıca Image Summary hedef dizininizde txt dosyası halinde bulunacaktır.
Daha sonra File seçeneğinden AddEvidence Item diyerek oluşturduğumuz imajı ekleyebilir ve üzerinde çalışabiliriz.
Örneğin ben hashleri kontrol ettirdim ve sonuç 'Match ( eşleşti ) olarak çıktı.
NOT: Mounting özelliği ile ön izlerken dikkatli olmanızı öneririm. Çünkü imajın içerisinde bir virüs varsa bilgisayarınıza bulaşabilir.
Daha detaylı bilgi edinmek için ve diğer özellikleri keşfetmek için internette arama yapabilir ya da kaynakçalara göz atabilirsiniz.
FTK Imager Kullanımı ile Alakalı Videolar
[ame]https://www.youtube.com/watch?v=yf_-vUHe3ZE[/ame]
[ame]https://www.youtube.com/watch?v=LujFpvDKkEc[/ame]
FTK Imager ile Veri Kurtarma
https://www.youtube.com/watch?v=wwDNz0aNKGs
Kaynakça
https://www.hackingarticles.in/step-by-step-tutorial-of-ftk-imager-beginners-guide/
Moderatör tarafında düzenlendi: